最近随着Linux系统的流行，Linux病毒防护是我们使用Linux的人越来越关注的问题。Linux病毒防护是关系到系统安全的一个重要的工作。

随着大家对Windows的失望，转而使 用Linux作为桌面操作系统的用户与日俱增，根据DesktopLinux网站的统计，今年以来，Linux桌面用户的数量增长了一倍多，使用Ubuntu版本的用户占到了30％，就连DELL也推出了安装Ubuntu系统的Linux PC。由于很多用户都有过被Windows下各种病毒困扰的经历，因此不免有对Linux“无毒”的期待，而对Linux一知半解的用户甚 至有着Linux“绝对安全”的误解。

一、正确的认识

首先有一点需要明确，无论是Windows还是Linux、Unix等等，其实都是操作系统而已，说白了，都是运行在计算机硬件之上的软件系 统，由于操作系统要负责与计算机硬件底层打交道，同时又要为用户的各种应用程序提供接口。因此，认为Linux“很安全”的用户，赶紧悬崖勒马吧，千万不 要掉入这个错误的陷阱。即便是能够及时地发布补丁，减少系统漏洞造成的危害，对用户来说已经是谢天谢地了，就不要再有“Linux无毒”的奢望了。

二、Linux病毒历史

早在1996年，澳大利亚一个名为“VLAD”的组织便发布了Linux系统下的第一个使用汇编语言编写的“Staog”病毒。Staog病毒 并不会对系统有什么实质性的损坏，它应该算是一个演示版，它向人们揭示了Linux可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是 “Bliss”病毒，它更象是一个实验性病毒。它有个一个特点，本身带有免疫程序，只要在运行该程序时加上 “disinfect-files-please”选项，即可恢复系统，因此其实验的成分更多些。

也许刚开始的时候，Linux病毒侧重于向人们传达一种声音，接下来就没有那么幸运了，2001年爆发的Ramen病毒，便具有了无须干预、自 动传播的功能，这一点与早期的Morris蠕虫很相似，它利用RPC.statd和wu-FTP漏洞感染Linux系统，由此可见，对Linux的系统或 软件的漏洞都不可掉以轻心。而如果很早就使用Linux系统的朋友，也许对2001年大规模爆发的“狮子”病毒还记忆犹新，严格的说，它是一种可以通过网 络迅速传播的蠕虫病毒，它可以通过电子邮件把密码和配置文件发送到制定的域名，攻击者根据发回的文件突破整个系统，更恐怖的是，中了“狮子”病毒的机器会 在网上搜索别的受害者。

虽然从第一个Linux病毒的发现至今，Linux平台下的病毒种类远没有Windows的庞大，其主要病毒威胁来自于Slapper、 Scalper、 Linux.Svat、BoxPoison、 Lion.worm、OSF.8759等病毒，然而随着Linux用户的增多以及病毒利益化的趋势，新的病毒将不断出现，因此使用Linux平台时，需要 对Linux下各种病毒以及系统自身有一定的了解，不然，在与病毒的较量中会很难取胜的。

三、Linux病毒防护方案

Linux补丁：虽然及时为系统打补丁，可以有效补救系统的安全漏洞，但需要注意的是，不过过分相信补丁的作用。有些时候，打补丁很管用，而有 时则并非如此，漏洞可能转移到别处，即使是补丁自身又带来新的漏洞，我们也不用因此而大惊小怪。还有一点需要明确，补丁只是解决已经公布的漏洞，而对于那 些尚未被公布的漏洞，则无计可施，从发现漏洞、通知危险、分发补丁的漫长过程后，再人为安装补丁就已经太晚了，因此自动化地完成这个过程也许才是最好和唯 一的选择。若您是在局域网中使用Linux主机，那么APT服务器将是不错的选择，它就象 Microsoft的sus补丁机一样，完全免费的APT服务器可以为局域网的服务器和客 户端自动完成补丁分发，通过设置，还可以定时更新系统的其他软件，修补网络或系统的安全漏洞。

设置复杂的口令：您也许觉得这已经是老生常谈了，但这里还是需要再次强调复杂口令的重要性，虽然随机字符口令很难记忆，但我们若将其记录在纸张 或文件中将更不安全，因此选择一个自己容易记忆，同时难以猜测，并无规律可寻的口令是一个明智的做法，此时口令的长度将决定破解的难易程度。

留心软件漏洞：通常在Linux的服务器上运行着FTP、MySQL、Apache、Telnet等软件，其中大部分都是开源的软件，并且都在 不断的升级之中，若您以前升级过这些软件，就会发现很多更新的版本中都有security bug fix(安全漏洞修正)的字样。无论是经验丰富的管理员和还是初出茅庐的普通用户都需要经常关注相关的网站，及时进行相应软件的升级或补丁。

病毒查杀：若您使用Linux作为服务器的话，建议定期扫描病毒、蠕虫和木马，对于连接到Internet的服务器需要更加注意，即便是服务器 遭到了入侵，那些对Linux一知半解的管理员往往还被蒙在鼓里。提供邮件服务的Linux服务器，最好能够使用一款E－Mial病毒扫描工具，确保经由 此服务器收发的邮件安全。若提供文件服务，最好能够部署能够同时查杀Linux和Windows病毒的杀毒软件（仅仅是建议而已，目前市场上这样的杀毒软…

USER　　 TTY　　　　FROM　　　　 LOGIN@ IDLE JCPU PCPU　　WHAT

chyang pts/0 202.38.68.242　　3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47　　 3:32pm 0.00s 0.14s 0.05　　 w

lewis pts/3 202.38.64.233　　1:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.233　　1:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm…

日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹.日志主要的功能有：审计和监测.他还可以实时的监测系统状态,监测和追踪侵入者等等.

在Linux系统中,有三个主要的日志子系统：

连接时间日志–由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统.

进程统计–由系统内核执行.当一个进程终止时,为每个进程往进程统计文件（pacct或acct）中写一个纪录.进程统计的目的是为系统中的基本服务提供命令使用统计.

错误日志–由syslogd执行.各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件.另外有许多UNIX程序创建日志.像HTTP和FTP这样提供网络服务的服务器也保持详细的日志.

常用的日志文件如下：

access-log　　　　　　　　 纪录HTTP/web的传输

acct/pacct　　　　　　　　 纪录用户命令

aculog　　　　　　　　　　 纪录MODEM的活动

btmp　　　　　　　　　　　　纪录失败的纪录

lastlog　　　　　　　　　　 纪录最近几次成功登录的事件和一次不成功的登录

messages　　　　　　　　　　从syslog中记录信息（有的链接到syslog文件）

sudolog　　　　　　　　　　 纪录使用sudo发出的命令

sulog　　　　　　　　　　 纪录使用su命令的使用

syslog　　　　　　　　　　 从syslog中记录信息（通常链接到messages文件）

utmp　　　　　　　　　　　　纪录当前登录的每个用户

wtmp　　　　　　　　　　　　一个用户每次登录进入和退出时间的永久纪录

xferlog　　　　　　　　　　 纪录FTP会话

utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键–保持用户登录进入和退出的纪录.

有关当前登录用户的信息记录在文件 utmp中；

登录进入和退出纪录在文件wtmp中；

最后一次登录文件可以用lastlog命令察看.

数据交换、关机和重起也记录在wtmp文件中.

所有的纪录都包含时间戳.这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速.例如wtmp文件可以无限增长,除非定期截取.许多系统以一天或者一周为单位把wtmp配置成循环使用.它通常由cron运行的脚本来修改.这些脚本重新命名并循环使用wtmp文件.通常,wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等,直到wtmp.7.

每次有一个用户登录时,login程序在文件lastlog中察看用户的UID.如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后 login程序在lastlog中纪录新的登录时间.在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录.该纪录一直用到用户登录退出时删除.utmp文件被各种命令文件使用,包括who、w、users和finger.

下一步,login程序打开文件wtmp附加用户的utmp纪录.当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中.wtmp文件被程序last和ac使用.…

aMule是一个类似eMule的工具，跨Linux、Mac OS X、Windows等平台，支持eD2k及KAD(Kademlia)网络。是Linux中eMule的替代品。

aMule的网站是： http://www.amule.org/

安装aMule

Debian、Ubuntu等主流的发行版的软件仓库中都有aMule，安装方法参见从软件仓库安装软件。

如果你使用的发行版软件仓库中没有这一软件，可以到aMule的网站上去下载安装。

配置aMule

目前aMule默认的服务器列表是用不了的，建议做如下设置：

ed2k的服务器列表添入

http://www.emule.org.cn/server.met

这是Windows里eMule的设置。其中比较好连接上的服务器是：

85.17.52.92:5000 Razorback 3.0

或Razorback 3.1

而KAD的服务器则添入：

http://www.emule-inside.net/nodes.dat

或

http://download.overnet2000.de/nodes.dat

浏览器配置

为了在浏览器页面中点链接就可以将相应项目加入列表，需要对浏览器进行一定的配置。仅介绍使用Firefox时的配置方法。

在地址栏输入：about:config 在页面上点右键增加如下两个键：

network.protocol-handler.app.ed2k = ed2k
network.protocol-handler.external.ed2k = true

注意第二个是布尔值，第一个可以加上具体路径，ed2k在/usr/bin。

要实现Ubuntu 自动关机,有两种方法.

1，软件

ubuntu 下有个软件叫 GShutdown,可以通过新立德安装

或者 sudo apt-get install gshutdown

2，命令

还是Linux自身的自动关机的命令shutdown命令.

在终端输入：

sudo shutdown +100 就表示电脑在100分钟后关机。

如果你此时手动关机是没用的，关机和重启都会变成登出，可以用 sudo shutdown -c来取消自动关机的命令。

此外还有其它相关的命令：

-k 并不真正关机而只是发出警告信息给所有用户

-r 关机后立即重新启动

-h 关机后不重新启动

-f 快速关机重启动时跳过fsck

-n 快速关机不经过init 程序

-h 12:00 在12点关机

-qP 100 100分钟后退出运行的程序关机…